Sanzioni Wind, Iliad & C

Marketing e GDPR, quando gli operatori telefonici violano la privacy

Il Garante della privacy ha sanzionato gli operatori Wind Tre e Iliad per aver violato la normativa in materia di data protection. Era già successo con Eni, Tim solo nell’ultimo anno. Una vicenda che permette di riflettere sul legame tra marketing, tutela degli interessati e GDPR

17 Lug 2020
C
Leonardo Cornacchia

Studio legale d’Ammassa & Partners

M
Andrea Michinelli

FIP (IAPP), Studio legale d’Ammassa & Partners


Le sanzioni comminate dal Garante per la privacy a due importanti operatori telefonici, Wind Tre e Iliad, per violazioni della normativa privacy, offrono lo spunto per riflettere sul rapporto tra marketing e GDPR. Si tratta infatti dell’ennesimo intervento del Garante nei confronti di gestori di telefonia mobile e del telemarketing, un settore molto spesso sotto esame (anche nei piani semestrali di ispezione del Garante) in considerazione dell’importanza strategica che riveste nel sistema Paese nonché della sensibilità dei dati personali che vengono trattati in tale contesto, nello specifico i dati relativi al traffico telefonico e telematico.

Solo quest’anno abbiamo avuto sanzioni analoghe a Tim ed Eni, tra l’altro tra le primissime a basarsi sul Gdpr.

Le sanzioni a Wind Tre e Iliad

L’analisi delle più recenti sanzioni ci permette di avere uno spaccato più chiaro dei meccanismi illeciti alla base di queste pratiche.

Il 9 luglio scorso l’Autorità garante per la protezione dei dati personali ha sanzionato con ordinanze ingiuntive WindTre S.p.A. e Iliad Italia S.p.A. rispettivamente per 17 milioni di euro e per 800 mila euro, avendo condotto attività in violazione delle norme poste a tutela della privacy degli utenti. Sanzioni tra le più corpose finora irrogate dal Garante. In particolare, le criticità sistemiche che più hanno influito nell’irrogazione delle sanzioni sono state, rispettivamente: per WindTre le modalità di raccolta e revoca del consenso per attività promozionali nonché il controllo sulla filiera dei call-center e dei rivenditori autorizzati; Iliad, invece, non avrebbe implementato adeguate misure di sicurezza tecniche ed organizzative in relazione alle modalità di accesso dei propri dipendenti ai dati di traffico.

I provvedimenti in esame – frutto di una complessa attività istruttoria ed ispettiva che prende le mosse dai reclami e segnalazioni dei consumatori/interessati – oltre a sanzionare pesantemente le predette aziende (peraltro Wind era già stata oggetto di un provvedimento inibitorio e prescrittivo del maggio 2018), racchiudono numerose raccomandazioni e best practice rivolte agli operatori del settore. Il presente scritto, pertanto, lungi dal voler analizzare pedissequamente i suddetti documenti, cercherà di estrapolare alcuni spunti pratici che il Garante, partendo dall’analisi del caso concreto, ha voluto direttamente o indirettamente fornire al lettore. Una corretta accountability passa, infatti, anche dall’esame di provvedimenti ove siano descritti e precisati case study significativi, tanto più che non si deve svolgere la stessa attività quale provider di telefonia per trarne profitto: chiunque svolga marketing con modalità affini a quelle che andremo a esaminare potrà riconoscersi e interrogarsi per un franco confronto.

La gestione dei consensi e l’informativa privacy

Uno degli aspetti su cui si è soffermato maggiormente il Garante è la gestione complessiva dei consensi degli interessati da parte di WindTre. In particolare, la società ha giustificato il trattamento dei dati sulla base dei consensi rilasciati addirittura nel biennio 1998/1999 (si evince da subito che la conservazione dei dati basata su tali consensi è stata eccessiva, oltre al trattamento reiterato nel tempo senza che vi fosse un corretto rinnovo dei consensi a debita cadenza). Sebbene tale trattamento possa in origine considerarsi legittimo, deve essere riconsiderato alla luce delle disposizioni introdotte dal Regolamento UE 2018/679. In questo senso, gli artt. 4, punto 11, e 7 nonché il considerando 171 GDPR forniscono il quadro giuridico all’interno del quale analizzare la correttezza dei consensi forniti. Il consenso prestato a norma della precedente Direttiva 95/46/CE non deve, comunque, essere nuovamente raccolto solo nel caso in cui il titolare del trattamento sia in grado di dimostrare la conformità alla normativa del GDPR (specie sotto il profilo informativo), nonché alla disciplina di settore (si vedano anche l’art. 130 del D.Lgs 196/2003 e la disciplina del Registro delle opposizioni).

Un’ulteriore contestazione è quella relativa alle funzionalità delle app MyWind e My3. Questi applicativi al momento del primo accesso avrebbero vincolato l’utente a un’unica accettazione generale delle condizioni contrattuali, dell’informativa privacy nonché di tutte le finalità marketing richieste a consenso. Si tratta di un’impostazione evidentemente contraria alla normativa – che purtroppo non è raro trovare in formulari, applicazioni e siti web -, posto che viene obbligato l’interessato, mediante la selezione del pulsante “Accetta”, all’accettazione indiscriminata anche di tutti i consensi facoltativi, pena il mancato accesso e utilizzo della app di servizio (utile per monitorare il traffico e la spesa, fini estranei a quelli commerciali). In tal modo, infatti, viene frustrato il disposto di cui all’art. 7, par. 2, nonché i considerando 42 e 43 del GDPR, a mente dei quali il consenso dell’interessato deve essere svincolato da eventuali ulteriori trattamenti e prestato in maniera chiaramente distinguibile dalle altre materie. Il Garante ha ritenuto insufficiente il fatto che tali app permettessero, successivamente all’accettazione, di accedere a un menù per la revoca dei consensi (peraltro comunque non possibile prima di 24 ore).

Alla medesima considerazione giunge peraltro il Garante nel provvedimento verso Iliad, laddove si contesta alla società la pratica di accorpare l’accettazione unificata da parte dell’interessato sia delle condizioni contrattuali sia della informativa privacy: l’interessato si troverebbe a esprimere un consenso non libero né tantomeno specifico, in aperto contrasto con il disposto di cui ai considerando 42 e 43 del GDPR. Sebbene possa figurare come una mera considerazione di stile, il Garante è stato attento a sottolineare ancora una volta l’importanza nell’utilizzo della terminologia adeguata a garanzia dei principi di correttezza e trasparenza di cui all’art. 5 del GDPR, soprattutto in un settore delicato come quello delle telecomunicazioni; ad es. si menzionava una finalità di “arricchimento dei dati” senza che fosse chiarito a cosa corrispondesse esattamente e con quali conseguenze.

Le problematiche più rilevanti sono state riscontrate all’atto di sottoscrizione di contratti per l’acquisto di un’utenza telefonica. Dall’attività ispettiva del Garante è emerso, infatti, che i rivenditori autorizzati di WindTre ispezionati sottoponevano ai clienti modelli cartacei già precompilati nella parte relativa ai consensi facoltativi (da confrontare col Considerando 32 GDPR: “non dovrebbe pertanto configurare consenso il silenzio, l’inattività o la preselezione di caselle”). Dall’analisi della documentazione interna, inoltre, è stata appurata una prassi finalizzata alla raccolta generalizzata dei consensi preordinata a forzare la volontà degli utenti, in basa alla quale gli operatori erano indotti a ottenere alte percentuali di flag sui consensi in quanto indice di qualità (come KPI – Key Performance Indicator) sul proprio lavoro svolto. Si desume facilmente che un’impostazione aziendale siffatta rischia di confliggere con i principi e le prescrizioni sulla protezione dei dati personali.

Oltretutto i modelli presentavano in alcuni casi altri problemi di trasparenza: le dimensioni dei caratteri con cui era scritto il testo relativo alla manifestazione dei consensi (non consentendo di accorgersi immediatamente di quanto veniva presentato per la firma) e, inoltre, per ottenere la stampa di un nuovo contratto senza i consensi selezionati sarebbero state opposte molte resistenze da parte degli addetti vendita.

Il controllo della “filiera”: la supply chain del marketing

Il Garante offre importanti spunti di riflessione anche sul tema delle nomine a responsabili e sub-responsabile ai sensi degli artt. 28 e 29 del GDPR, un argomento sensibile in un settore come quello delle telecomunicazioni dove le aziende telefoniche si servono di dealer e rivenditori per coprire capillarmente tutto il territorio nazionale. La tutela dei dati degli utenti invero passa anche attraverso il corretto inquadramento giuridico nonché sul controllo di tali soggetti.

In questo senso, è emerso come un rivenditore autorizzato, nominato correttamente da WindTre quale responsabile del trattamento, avrebbe svolto la propria attività attraverso una lista di collaboratori presenti su tutto il territorio nazionale (denominati “procacciatori”), i quali contattavano potenziali clienti per finalità di marketing mediante acquisizione di dati di clienti di un diverso operatore telefonico con modalità non lecite. Tali soggetti, peraltro, non sarebbero stati nominati sub-responsabili e operavano in apparente titolarità autonoma ma sempre per conto di WindTre, come i dati di fatto hanno confermato (si veda l’utilizzo di lettere ai partner commerciali con prescrizioni sui consensi). Il Garante addebita la paternità del lavoro svolto da questi soggetti alla suddetta società, anche in forza del provvedimento del Garante del 15 giugno 2011 nonché della legge n. 5/2018 , in base ai quali il soggetto che agisce per conto del proponente – ingenerando un legittimo affidamento negli utenti circa l’effettiva titolarità della campagna di marketing – risponde in solido con il titolare delle eventuali violazioni di legge, anche in virtù del rapporto titolare-committente per le attività promozionali affidate ai call center.

Il Garante sottolinea, pertanto, l’importanza di controlli stringenti nei confronti dei responsabili, ad es. anche mediante l’utilizzo di questionari mirati (come le checklist) volti a scongiurare fin dal principio eventuali criticità nel trattamento e nella gestione dei dati degli utenti e, se del caso, tramite ispezioni e accessi fisici sui luoghi di lavoro (audit). Tali criticità, infine, possono essere evitate anche attraverso una constante attività di formazione nei confronti degli operatori, al fine di sensibilizzarli sull’importanza del corretto trattamento dei dati degli utenti. Nel caso concreto, WindTre aveva fatto uso di questionari ma non aveva proceduto ad approfondimenti o revisioni del rapporto a fronte di una serie di alert piuttosto gravi, in particolare “attività svolte da soggetti esterni con l’utilizzo di liste non acquisite da Wind Tre e senza poter garantire il rispetto delle disposizioni in materia di privacy”.

Le problematiche derivanti dal mancato controllo dei responsabili e sub-responsabili non è nuovo nel settore delle telecomunicazioni. Le violazioni delle disposizioni in materia di trattamento dei dati degli interessati, sebbene spesso siano il frutto di incompetenza e inesperienza degli operatori, a volte possono essere lo specchio di attività criminali che lucrano sul business dei dati personali. A tal proposito è nota la recente operazione “Data Room” condotta dalla Polizia Postale, la quale ha eseguito venti provvedimenti cautelari nei confronti di soggetti ritenuti responsabili a vario titolo di aver rubato e successivamente rivenduto ai call center dati personali degli utenti. Un vero e proprio “traffico di dati personali” che fa pensare, più che al “petrolio” dell’economia digitale, al mondo degli stupefacenti o della tratta di esseri umani, non a caso considerato quanto i dati personali siano un’espressione e presupposto delle libertà e dei diritti delle persone.

La gestione delle richieste degli interessati

Il provvedimento nei confronti di WindTre risulta molto utile anche sul tema dell’identificazione dell’interessato che esercita i diritti riconosciuti dal GDPR. In questo senso, l’art. 12, par. 6 e il Considerando 64 consentono al titolare del trattamento, in sede di analisi di una richiesta, di richiedere ulteriori informazioni, ponendo in essere “misure ragionevoli” per verificare l’identità dell’interessato. L’intento del legislatore comunitario risiede proprio nel necessario bilanciamento tra le esigenze di tutela del titolare del trattamento e la necessità di limitare la raccolta e la conservazione di dati ulteriori a quanto necessario. La necessità nonché la proporzionalità di tali misure, inoltre, devono essere valutate alla luce del caso concreto, considerando il contesto di riferimento nonché i rischi e le utilità a conseguire lo scopo prefissato.

Nel caso di specie le misure adottate da WindTre in sede di identificazione degli interessati – ovvero la richiesta di un documento d’identità – che esercitano il diritto di opposizione al marketing o il diritto di revoca, sono state reputate non conformi ai principi di proporzionalità, necessità e adeguatezza per due ordini di ragioni. In primo luogo, in quanto un eventuale soggetto terzo che esercitasse la revoca al consenso per marketing determinerebbe conseguenze irrisorie nei confronti del diretto interessato, soprattutto se confrontate con quelle derivanti dall’esercizio di altri diritti. In secundis, una richiesta di tal specie sarebbe certamente riconducibile al diretto interessato, essendo molto difficile che un altro soggetto abbia un interesse specifico in tal senso. Infine, osserva il Garante, in presenza di una richiesta di esercizio del diritto di revoca proveniente da un soggetto non cliente contattato per finalità di marketing, risulterebbe ancora di più sproporzionato richiedere la visione di un documento di riconoscimento di cui il titolare non dispone e che non sarebbe necessario all’identificazione dell’interessato. Tutto ciò è sancito dal Garante in merito all’esercizio dei diritti di opposizione e revoca: andrà valutato se e in che misura si possa applicare il medesimo ragionamento ad altri diritti, qualora si tratti ad es. di quelli di accesso o portabilità, i quali paiono richiedere (nel caso di comunicazione dei dati a un soggetto potenzialmente diverso dall’interessato) cautele rafforzate per evitare un data breach e potrebbero giustificare, invece, la richiesta di un documento identificativo. Ne consegue che la procedura di esercizio dei diritti degli interessati – che il titolare dovrebbe adottare internamente – andrà strutturata in maniera differenziata a seconda dei diritti esercitati, non potendo uniformare i requisiti di verifica dell’identità.

Il Garante, inoltre, partendo dall’analisi del combinato disposto di cui agli artt. 12, par. 2 e 7, par. 3 del GDPR, fornisce un ulteriore spunto in tema di gestione delle richieste degli interessati. È onere del titolare del trattamento, infatti, agevolare il più possibile l’esercizio dei diritti degli interessati, anche per il tramite di informative chiare e intellegibile, nonché garantendo all’interessato la possibilità di revoca del consenso con la stessa facilità con cui viene accordato. Logico corollario di tale impostazione impone dunque al titolare del trattamento di fornire in informativa un unico indirizzo e-mail (come ad es. quello del DPO, se presente) in cui far confluire tutte le richieste provenienti dagli interessati, oltre ovviamente a eventuali ulteriori canali di contatto, quali la posta ordinaria o il contatto telefonico.

Accesso e conservazione dei dati di traffico telefonico e telematico

La contestazione più rilevante mossa nei confronti di Iliad ha ad oggetto le modalità di accesso e conservazione dei dati di traffico degli utenti presso i sistemi informativi della società. In particolare, dall’attività ispettiva condotta presso la sede di Iliad è emerso che un addetto al customer care con profilo di amministratore aveva la possibilità di visualizzare i dati di traffico telefonico in chiaro, generati da più di sei mesi, accedendo al sistema gestionale in uso.

Al fine di fare chiarezza sul punto, il Garante valuta la condotta illecita della società ai sensi degli artt. 123, 132 e 132-ter del D.Lgs 196/2003, in base ai quali gli operatori telefonici sono tenuti – a mente di quanto imposto all’art. 32 del GDPR in tema di misure di sicurezza – ad adottare misure tecniche e organizzative adeguate al rischio derivante dal trattamento dei dati. Tali misure sono rappresentate dal provvedimento generale sulla sicurezza dei dati di traffico telefonico e telematico del 17 gennaio 2008, il quale fissa un triplice requisito il cui rispetto è imprescindibile nel contesto di tali attività:

  • obbligo per il titolare di conferire una specifica autorizzazione agli incaricati (oggi: autorizzati ex art. 29 GDPR) al trattamento dei dati di traffico, ai quali si può accedere solo in presenza di misure di strong authentication – utilizzando pertanto due differenti tecnologie di autenticazione, di cui una necessariamente deve essere basata sulle caratteristiche biometriche dell’incaricato;
  • obbligo per il titolare di conservare i dati per finalità di giustizia e repressione dei reati in sistemi informatici distinti fisicamente (e non solo logicamente) da quelli utilizzati per altre funzioni aziendali; si ammette in la possibilità di conservare solo nei primi sei mesi – a decorrere dalla registrazione – in un unico sistema informatico i dati relativi a qualsiasi finalità (ad esempio giustizia, marketing, fatturazione, antifrode, ecc.);
  • obbligo per il titolare di attribuire agli autorizzati specifici profili di autorizzazione a seconda delle mansioni svolte, in particolare, in ragione delle differenti finalità perseguite, tenendo un registro degli accessi effettuati.

Le misure sono da integrare, come già accennato, con altre come un audit log per controllare le attività svolte, audit interni periodici, sistemi di cifratura, ecc.

Un’altra annotazione importante concerne il perimetro applicativo: il Garante precisa che i “fornitori” di comunicazioni elettroniche oggetto degli specifici obblighi suddetti (introdotti in forza della Direttiva 2002/58/CE) non comprendono i gestori dei siti Internet che diffondono contenuti sulla rete (c.d. “content provider”) né i gestori dei motori di ricerca, anzi precisando che l’eventuale conservazione dei dati di navigazione web (e dunque dei contenuti dei siti visitati) da parte di tali soggetti violerebbe espressamente l’art. 132 D.Lgs. 196/2003 che – in ogni caso – non permette la conservazione del “contenuto” delle comunicazioni elettroniche.

Importanza dei principi di accountability e privacy by design

In entrambi i provvedimenti in esame il Garante sottolinea, a volte in modo esplicito altre invece indirettamente, l’importanza del rispetto dei principi di accountability e privacy by design, concetti cardine del GDPR. L’obbligo per il titolare del trattamento di garantire il rispetto dei principi in materia di protezione dei dati personali di cui all’art. 5 del GDPR (liceità, trasparenza, minimizzazione dei dati, riservatezza, ecc.) nonché di dimostrarne conseguentemente l’effettiva tutela, viene rimarcata dal Garante in quei passaggi dei provvedimenti in cui si evidenziano gli errori e le falle commesse dalle due aziende. In particolare, WindTre è stata ritenuta responsabile di non aver attuato – a volte per colpa, altre dolosamente – quelle misure tecniche e organizzative idonee a tutelare i propri utenti. E anche quelle misure che erano state adottate – quali ad esempio il sistema centralizzato di campaign management e il registro dei contatti per la gestione delle attività promozionali – seppur formalmente corretti non sono stati nella pratica in grado di evitare attività promozionali condotte in assenza di una legittima base giuridica. Le risposte fornite negli stessi questionari sottoposti ai propri fornitori, peraltro, hanno evidenziato criticità che dovevano essere approfondite, tuttavia non sono stati presi provvedimenti di alcun genere.

Quanto sopra descritto appare ancora più grave al Garante se si considera la rilevanza dell’azienda, sia in termini di fatturato, sia per quanto riguarda le competenze e conoscenze tecniche di cui dispone, la quale sarebbe stata senz’altro in grado di valutare adeguatamente i rischi connessi al trattamento dei dati dei clienti e agire di conseguenza, anche alla luce della recente pronuncia del Garante del 2018 sull’operato di WindTre. Iliad, dal canto suo, è stata sanzionata in quanto non ha messo in atto, fin dalla progettazione, quelle misure tecniche ed organizzative necessarie a garantire la riservatezza dei propri clienti che utilizzavano le c.d. “Simbox”. Si tratta di un distributore automatico – molto simile alle biglietterie self-service che si trovano in qualsiasi stazione ferroviaria – che permette al cliente di sottoscrivere in autonomia un contratto di fornitura di un’utenza mobile senza la necessaria presenza di un operatore. A tal fine la macchina registra l’immagine del volto del contraente e i dati personali che lo stesso digita sullo schermo al fine di perfezionare il contratto. Il Garante ha ritenuto non idonee le misure di sicurezza implementate dall’azienda per due ordini di ragioni:

  • la videocamera installata sulla macchina consente l’effettuazione di una ripresa con angolo di visuale a 180 gradi, ritenuta eccessiva vista la possibilità di riprendere i soggetti sullo sfondo; tale osservazione è ancora più rilevante se si considera che tali strumenti sono solitamente collocati in luoghi tipicamente affollati, come centri commerciali, stazioni, ecc.;
  • non sono stati adottati accorgimenti al fine di garantire la riservatezza del cliente durante le operazioni, quali ad es. l’utilizzo di pannelli divisori o la previsione di distanze di cortesia.

Il Garante, tuttavia, ha ritenuto di non sanzionare Iliad, bensì di rivolgerle un ammonimento in merito a tali violazioni relative all’utilizzo delle Simbox, finalizzato all’adozione di misure correttive più idonee a garantire la riservatezza dei clienti.

Conclusioni: oltre le sanzioni

Come abbiamo potuto constatare, i provvedimenti sopra esaminati non si limitano a sanzionare in maniera asettica le aziende interessate, bensì costituiscono un ricco insieme di spunti di riflessione operativa, per chi li vuole cogliere. Oltretutto è anche chiaro che passare per le “forche caudine” del Garante in casi come questi, persino con “recidiva”, non reca solo il danno dei profili sanzionatori detti sopra (comunque molto rilevanti, anche nell’ottica di un’effettiva applicazione delle sanzioni potenzialmente molto onerose del GDPR), ma anche quelli meno calcolabili oggi e sempre più importanti alla reputation verso clienti, partner e più in generale verso il mercato, non da ultimi i propri stakeholder.

Telemarketing: gli errori privacy da non commettere nel post emergenza Covid-19

@RIPRODUZIONE RISERVATA

Articolo 1 di 5